Firewall

Firewall

İnternet zararlı yazılımların dolaştığı bir yer ve dolayısıyla internete bağlanan her cihaz teknik olarak tehlike altında. Peki bilgisayarımızı, tabletimizi veya akıllı telefonumuzu bu tehlikelere karşı nasıl koruyacağız? Birçok insan anti-virüs yazılımlarının tek başına güvenliği sağlamak adına yeterli olduğunu düşünüp, firewall yazılımını es geçiyor.

 Firewall; bilgisayarınızı, tabletinizi veya akıllı telefonunuzu internette yer alan veri tabanlı zararlı yazılım tehliklerine karşı koruyan bir kalkandır. Siber alanda veriler bilgisayarlar, sunucular ve router’lar arasında gezinir. Firewall ise bu veriyi kontrol ederek güvenli olup olmadığını tespit eder ve güvenli olmayanlara karşı sizi korur.

Paket filtreleme yapan Firewall türü - Packet Filtering Firewall. 

Çift taraflı Geçit tipindeki Firewall türü - Dual-homed gateway firewall. 

Perdelenmiş kullanıcı tipindeki Firewall türü - Screened host firewall. 

Perdelenmiş alt ağ tipindeki Firewall - Screened subnet firewall. 

Ek olarak fırewall ile modem erişiminde bağlantıları entegre etmek için kullanılan metotları da ayrı bir bölümde değerlendirebiliriz 

1- Packet Fıltering Firewall: 

Packet Fılterıng, küçük ve basit siteler ve ağlar için en yaygın ve en kolay metottur. Ancak bir çok dezavantajlarından dolayı diğer fırewall türlerine göre pek tercih edilmez. Basit olarak, bir ınternet ağ geçidinde (gateway), packet fılterıng yönlendiricisi (router) kurulur ve sonra , protokollar ve adresleri engellemek veya süzmek için yönlendiricide gerekli ayarlar yapılır. İnternetten sisteme erişim engellenilirken, sistemden ınternete erişim genellikle serbest bırakılır. Bununla beraber yönlendirici (router) güvenlik planına bağlı olarak sistemler ve servislere kısıtlı erişimlere izin verebilir. nıs nfs ve x-wındows gibi tehlikeli olabilecek servisler için genellikle erişim ve trafik bloke edilir.

Packet Filterıng Firewall için de yönlendiricilerdeki dezavantajlar geçerlidir. Yerel ve korunması gereken ağların güvenlik ihtiyaçları daha karmaşık olduğundan sorun daha da büyüktür. Bu sorunlar:

Erişim denetleme yetenekleri sınırlıdır. Ağ yöneticisi saldırıyı anında fark edemez.

Packet fılterıng kuralları, bilinmeyen türden saldırılara karşı ağı test edebilme yeteneğine sahip değildir. 

Eğer karmaşık filtre kuralları ve düzenlemeleri istenirse sistemin idaresi zor olabilir. 

2- Çift Taraflı Geçit (Dual-Homed Gateway): 

Bu tür, "paket fıltrelemeli firewall"a karşı iyi bir alternatifdir. İki network ara birimi ile IP iletişimi engellenen bir terminalden oluşur. Burada terminal artık veri paketlerini direkt olarak iki ağ arasında iletemez. Ayrıca bu sistemde packet fılterıng yönlendiricisi internet bağlantısı üzerine, ek bir koruma sağlamak için yerleştirilebilir. Bu yönlendirici sayesinde bilgi sunucusu (information server) ve modem gibi sistemleri tanımlamak için kullanılabilen dahili ve perdelenmiş bir alt ağ yaratılır. "Paket filtrelemeli fırewall"dan farklı olarak, "çift taraflı geçit" mekanizması, internet ile ağ arasında IP trafiğini tamamen bloke eder (proxy tarafından kullanılan servisler hariç tabii). Servisler ve sistemlere erişim, bu geçitteki (gateway'deki) proxy sunucusu tarafından sağlanır. Basit ve emniyetli bir firewall türüdür.

Alt ağ (subnet) sadece firewall tarafından bilinir ve algılanır. İnternet üzerinde bu ağa ait bir bilgi bulunmaz. 

Bu sayede ağ içindeki isimler ve ıp adresleri internet sistemlerinden saklanır. Çünkü fırewall DNS bilgisini geçirmez.

"Çift taraflı geçit" sisteminin kurulumunda telnet, ftp, ve merkezi e-maıl servisi için bir proxy server düzenlenmelidir. Bu sistemde ek olarak fırewall davetsiz misafirlerin faaliyetini ve sisteme erişim çabalarını izleyebilir.

"Çift taraflı geçit" tipindeki fırewall, ağa gelen ve giden veriler ile bilgi sunucusunun trafiğini ayırma imkanı sağlar. Bilgi sunucusu, geçit-gateway ile yönlendirici-router arasında alt ağa yerleştirilir. Ağ geçidinin (gateway) bilgi sunucusu için uygun proxy servisleri sağladığını farzedersek (ftp , gopher veya http gibi) yönlendirici (router), fırewall'a doğrudan erişimi önleyebilir ve erişimleri fırewall’un denetlemesine tabi tutar. Bilgi sunucusunun bu şekilde yerleştirilmesi, davetsiz misafirlerin bilgi sunucusuna erişimine imkan vermediğinden ve çift taraflı geçit mekanizması ile de ağ sistemlerine ulaşımın engellenmesinden dolayı daha emniyetli bir metottur.

Çift taraflı geçidin esnek olmayan yapısı bazı ağlarda dezavantaj olabilir. Proxy haricinde bütün servisler bloke edildiği için var olan diğer servislere erişim imkanı olmaz. Erişilmesi gereken servisler için bu servisleri veya sistemleri geçidin internet tarafına yerleştirmek gerekir. Ancak ayrı bir yönlendirici, geçit ile asıl yönlendirici arasında bir alt ağ oluşturacak şekilde kurulabilir ve ekstra hizmetler gerektiren sistemler burada devreye sokulabilir.

Diğer önemli bir nokta firewall'un güvenli bir makina ve işletim sistemi üzerine kurulması gerekliliğidir. Ana sistemdeki açıklar firewall için boşa harcanan para demektir.

3- Perdelenmiş Kullanıcı Tipindeki Firewall - Screened Host Firewall:

"Çift taraflı geçit" tipindeki fırewall'dan daha esnektir. Ancak her zamanki gibi esneklik, güvenlik adına verilen bazı bedeller ile sağlanmıştır.

"Perdelemeli fırewall", yönlendiricinin korunmalı durumdaki alt ağ tarafına yerleştirilen uygulama geçidi ile paket filtrelemeli yönlendiriciyi birleştirir. Uygulama geçidi sadece bir network ara birimine ihtiyaç duyar . Uygulama geçitlerinin proxy servisleri ağ sistemindeki bazı proxyler için telnet ftp ve diğer veri paketlerini geçirebilir. Yönlendirici filtreleri ve perdelemeler, uygulama geçidi ve ağ sistemlerine ulaşımı kontrol ettiğinden dikkat edilmesi gereken protokollerdir ve uygulama trafiğini aşağıdaki şekilde yönlendirirler:

Yönlendirilmek üzere uygulama geçidine internet ağlarından gelen trafik kabul edilir,

İnternet ağlarından gelen diğer tüm trafik geri çevrilir. 

Uygulama geçidinden gelmedikçe, yönlendirici içeriden gelen herhangi bir uygulama trafiğini reddeder. 

"Çift taraflı geçit" türü fırewall'dan farklı olarak, bu sistemdeki uygulama geçidi sadece bir network ara birimine ihtiyaç duyar ve uygulama geçidi ile yönlendirici arasında ayrı bir alt ağ (subnet) gerektirmez. Bu durum daha esnek ama daha emniyetsiz bir yapıdır. Örneğin ntp gibi daha az tehlikeli servisler, ağ sistemlerine yönlendiricinin içinden geçiş izni verebilirler. Eğer alt ağ sistemleri internet sistemlerine dns erişimi gerektirirse dns protokolü bu alt ağa erişimi mümkün kılabilir.

4-Perdelenmiş Alt Ağ tipi Fırewall - Screened Subnet Firewall:

Perdelenmiş alt ağ tipi fırewall , "çift taraflı geçit" ile "perdelenmiş host tipi fırewall"un birleşimidir. 

5- Firewall ile modemin entegrasyonu:

Bir çok ağda, ağdaki modemlere telefon hattından erişim mümkündür. Bu, potansiyel bir backdoor açığıdır ve firewall ile kurulan korumayı tamamen etkisiz duruma getirir. Böyle durumları önlemenin yolu modemlerin tümüne erişimi, tek bir güvenli ana modem girişinde toparlamaktır. Ana modem girişi düzenlemesi, modemlerin ağa bağlantısını sağlamak amacıyla yapılmış bir terminal sunucu üzerinden gerçekleştirilebilir.

Modem kullanıcıları önce terminal sunucusuna bağlanır, oradan da diğer sistemlere erişir. Bu türden bazı terminal sunucuları, özel sistemlere bağlantıları kısıtlayabilen ilave güvenlik özelliği de sağlarlar. Bir diğer alternatif de, terminal sunucusuı, modemlerin bağlandığı bir ana makine da olabilir. 

Modemlerden yapılan bağlantılar internetten yapılan bağlantılarda olduğu gibi bir takım tehditlere açık olduğundan izlenmeleri ve emniyetlerinin sağlanması gerekir. Bu nedenle ana modem sunucusunu fırewall'un dışında oluşturmak, modemle yapılacak bağlantılar firewall içinden geçeceğinden emniyetli bir yöntemdir.

Ayrıca uygulama geçidinin gelişmiş erişim denetleme yeteneği, internetten olduğu gibi modemden bağlanan kullanıcıların erişim yetkilerini doğrulamakta kullanılabilir. Paket filtreleme yönlendiricisi de dahili sisteme ana modem sunucusundan yapılacak bağlantıları önlemek için kullanılabilir . 

Sistemin dezavantajı ise, modem sunucusunun internete doğrudan bağlanması ve bu yüzden saldırıya açık olmasıdır. Ana sunucuya bağlanabilen bir saldırgan yine bu sunucunun üzerinden diğer ağlara giriş yapabilir. Bu sebeple ana modem sunucusundan, başka ağlara yapılacak bu tür bağlantıları engellenebilmelidir.